Jednou z nejčastějších cest, jak se do počítačů dostává malware, jsou falešné e-mailové zprávy. Zatímco zkušenější uživatelé obvykle rozpoznají podvržený e-mail, ti méně zdatní mohou podlehnout a nainstalovat si do systému škodlivou aplikaci.
Svým způsobem jde vlastně o sociální inženýrství, kdy je úkolem útočníka přesvědčit uživatele, aby klepl na odkaz, stáhl a nainstaloval si nějaké soubory. Tvůrci ransomwaru Cyborg nyní využili zákeřnou taktiku: rozesílají e-maily pod hlavičkou Microsoftu a radí příjemcům, aby si nainstalovali nezbytnou aktualizaci.
Ransomware místo aktualizace
Pravidelným čtenářům Živě jistě hned po přečtení předchozího odstavce vytane na mysli, že Microsoft rozhodně nerozesílá výzvy k aktualizacím elektronickou poštou. Nesmíme ale zapomínat na to, že řada méně zkušených uživatelů takovou informaci nemá – ti mohou snadno uvěřit uvedeným tvrzením a doporučením.
Na aktuální hrozbu upozornili na blogu bezpečnostní experti z firmy Trustwave. Škodlivé e-maily mají předmět „Install Latest Microsoft Windows Update now!“ nebo „Critical Microsoft Windows Update!“, který má přesvědčit neznalé uživatele k otevření zprávy.
E-mail obsahuje jedinou větu, vyzývající k instalaci systémových aktualizací, jež mají být součástí e-mailu. Přiložený soubor o velikosti kolem 28 kB má sice příponu .jpg, podle které se na první pohled jedná o obrázek, avšak ve skutečnosti jde o spustitelnou .NET aplikaci, která do systému stáhne malware.
Stačí jedno neuvážené klepnutí
Po spuštění přiloženého souboru dojde ke stažení další aplikace bitcoingenerator.exe – ten již obsahuje ransomware Cyborg. Jak už to u tohoto typu havěti bývá, aplikace začne šifrovat soubory uživatele a měnit jejich příponu na .777. Kromě toho uloží do kořenové složky souborového systému svou kopii jako soubor bot.exe.
Hlavním cílem ransomwaru bývá požadování výkupného za dešifrování souborů. To je v tomto případě realizováno formou textového souboru Cyborg_DECRYPT.txt, umístěného na ploše. V něm je vznesen požadavek na zaplacení 500 amerických dolarů, tedy v přepočtu asi 11 500 Kč. V tomto směru patří Cyborg k těm levnějším....
Obecně existuje několik typů ransomwaru Cyborg, které se od sebe liší například používanými příponami zašifrovaných souborů. V šedé zóně internetu lze dokonce získat takzvaný „builder“, s jehož pomocí je možné sestavit si vlastní variantu této škodlivé aplikace.